КИЇВ. 12 березня. УНН. Зловмисники, пов’язані з урядом Північної Кореї, переслідують дослідників безпеки в рамках хакерської кампанії, в якій використовуються нові методи та шкідливе ПЗ. УНН з посиланням на Arstechnica.
Подробиці
Дослідники з компанії Mandiant заявили, що вперше помітили цю організацію в червні минулого року, коли відстежували одну з фішингових організацій.
Хакери в цій кампанії намагалися заразити ПО користувачів трьома новими серіями шкідливих програм, таких як Mandiant, Sideshow та Touchshift.
Також вони продемонстрували нові можливості протидії інструментам виявлення, працюючи всередині хмарних середовищ “цілей”.
“Mandiant підозрює, що UNC2970 спеціально призначався для дослідників безпеки у цій операції”, – заявили вони.
Бекдор UNC2970 використовував цільовий фішинг – пошук роботи, намагаючись заманити людей та змусити їх встановити нове шкідливе ПЗ.
Традиційно UNC2970 орієнтований на організації, які надсилають фішингові листи про найм на роботу. Нещодавно група перейшла на використання підроблених облікових записів LinkedIn, що належать рекрутерам. Облікові записи імітують законних осіб, щоб обдурити користувача.
Зловмисники намагаються перевести спілкування до месенджера WhatsApp і звідти використовувати або цю програму, або електронну пошту для бекдору, який Mandiant називає Plankwalk або інші сімейства шкідливих програм.
Доповнення
Plankwalk або інші шкідливі програми, переважно потрапляють у ПЗ користувача через макроси, вбудовані у документи Microsoft Word.
